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Vragen van het lid Oosenbrug (PvdA) aan de Ministers van Veiligheid en 
Justitie en van Binnenlandse Zaken en Koninkrijksrelaties over het bericht dat 
veel gemeenten de beveiliging van persoonsgegevens in Suwinet niet op orde 
hebben (ingezonden 25 januari 2016). 

Antwoord van Minister Van der Steur (Veiligheid en Justitie), mede namens 
de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de 
Staatssecretaris van Sociale Zaken en Werkgelegenheid (ontvangen 22 februari 
2016) 

Vraag 1 

Kent u het bericht «Onnacceptabele risico's Suwinet blijven in stand»? 1 

Antwoord 1 
Ja. 

Vraag 2 en 4 

Deelt u de mening dat het zorgelijk is dat vanwege de gebrekkige beveiliging 
van persoonsgegevens die met Suwinet worden uitgewisseld die gegevens in 
verkeerde handen kunnen vallen? Zo nee, waarom niet? 

Verbeteren gemeenten ook zonder daar eerst onderzoek van de Autoriteit 
Persoonsgegevens voor af te wachten zelf de beveiliging van Suwinet? Zo ja, 
kunt u daar voorbeelden van geven? Zo nee, wat gaat u doen om gemeenten 
daartoe aan te zetten? 

Antwoord 2 en 4 

Die mening deel ik. Over de privacy van burgers moet goed worden gewaakt. 
Zeker door overheden die toegang hebben tot gevoelige informatie. Daarom 
vinden VNG, UWV, SVB en de Staatssecretaris van Sociale Zaken en 
Werkgelegenheid het van groot belang dat deze partijen zorgvuldig omgaan 
met de informatie van burgers die zij tot hun beschikking hebben. Om deze 
partijen te bewegen zorgvuldig met deze informatie om te gaan is een 
escaiatieprotocol «afsluiten Suwinet» opgesteld. Dit protocol is op 1 oktober 
2015 aan de Tweede Kamer gestuurd. 


1 http://rn.binnenlandsbestuur.nl/nieuws/onnacceptabele-risico-s-suwinet-blijven-in- 
stand.81013.lynkx 
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Gemeenten en de VNG hebben de afgelopen periode veel initiatieven 
genomen om de beveiliging van Suwinet te verbeteren (https://vng.nl/ 
onderwerpenindex/werk-en-inkomen/suwinet). De VNG ondersteunt gemeen¬ 
ten met voorlichtingsmateriaal en heeft voorlichtingsbijeenkomsten voor 
gemeenten georganiseerd. Met behulp van de door de VNG ontwikkelde 
zelftest kunnen gemeenten zelf controleren of zij aan de 7 essentiële normen 
van Suwinet voldoen. De zelftest is de eerste stap in het escalatieprotocol. 

Vraag 3 

Deelt u de mening dat overheden ook als het om bescherming van persoons¬ 
gegevens gaat een voorbeeldfunctie hebben en dat handhaving door de 
Autoriteit Persoonsgegevens eigenlijk niet eens nodig zou moeten zijn? Zo ja, 
hoe gaat u de desbetreffende gemeenten daar op aanspreken? Zo nee, 
waarom niet? 

Antwoord 3 

Ik vind het van groot belang dat overheden zorgvuldig omgaan met de 
informatie van burgers die zij tot haar beschikking heeft. Wat betreft het 
gebruik van SUWInet kan dat nog verbeterd worden. De bescherming van 
persoonsgegevens is een grondrecht en het is niet acceptabel dat de 
overheid hierin tekortschiet. De Staatssecretaris van Sociale Zaken en 
Werkgelegenheid heeft gemeenten diverse malen gewezen op hun verant¬ 
woordelijkheid inzake de beveiliging van Suwinet. In 2015 heeft de Staatsse¬ 
cretaris de Inspectie SZW opdracht gegeven om onderzoek te doen naar de 
beveiliging van Suwinet bij alle gemeenten. Op dit moment verstuurt de 
Staatssecretaris de eerste brieven met een aankondiging tot een aanwijzing 
aan gemeenten die niet voldoen aan alle 7 normen. De betreffende gemeente 
krijgt een beperkte tijd om de beveiliging op orde te brengen. Indien een 
gemeente daarin niet slaagt volgt een aanwijzing. Deze aanwijzing kan eruit 
bestaan dat de Staatssecretaris gemeenten verplicht om een externe 
deskundige aan te stellen die de beveiliging van Suwinet op orde moet 
brengen. De kosten van deze externe deskundige zijn voor rekening van de 
gemeente. Als uiterste consequentie kan een gemeente worden afgesloten 
van Suwinet. 

Vraag 5 

Wordt er opgetreden tegen ambtenaren die misbruik maken van de gegevens 
in Suwinet bijvoorbeeld door zonder noodzaak de gegevens van bekende 
Nederlanders te raadplegen of de verblijfplaats van een (ex)partner in een 
blijf-van-mijn-lijf huis te achterhalen? Zo ja, door wie en met welke sancties? 
Zo nee, waarom niet? 

Antwoord 5 

Organisaties dienen een Security Officer aan te stellen en die laten sturen, 
toezien op en waarborgen van veilig gebruik van Suwinet. De Security Officer 
controleert onder meer op het verlenen van de autorisaties en het gebruik 
van Suwinet. Via algemene en specifieke rapportages, die opgevraagd 
kunnen worden bij de beheerder van Suwinet, kan achterhaald worden welke 
BSN wordt opgevraagd door een medewerker. Op basis van deze informatie 
kan opgetreden worden bij misbruik en oneigenlijk gebruik. Het is aan de 
betreffende organisatie passende maatregelen te nemen bij misbruik en 
oneigenlijk gebruik van Suwinet variërende van een reprimande tot ontslag 
op staande voet. 

Vraag 6 

Heeft de Autoriteit Persoonsgegevens inmiddels voldoende sanctiemiddelen 
en personele capaciteit om tegen schendingen van de persoonlijke levens¬ 
sfeer op te treden? Zo nee, waarom niet en wat gaat u doen om dat te 
verbeteren? 

Antwoord 6 

Per 1 januari 2016 is - vooruitlopend op de Europese verordening gegevens¬ 
bescherming - de uitbreiding van de boetebevoegdheid in werking getreden. 
Op grond van het gewijzigde artikel 66 van de Wet bescherming persoonsge¬ 
gevens (Wbp) kan de Autoriteit persoonsgegevens bij overtreding van de 
Wbp een bestuurlijke boete opleggen. In de regel gaat aan het opleggen van 
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een bestuurlijke boete een bindende aanwijzing vooraf, tenzij de overtreding 
opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. Bij 
de bindende aanwijzing kan de Autoriteit een termijn stellen waarbinnen de 
aanwijzing moet worden opgevolgd. Het niet nakomen van de bindende 
aanwijzing kan met een bestuurlijke boete worden bestraft. Samen met de 
reeds bestaande bevoegdheid, tot het opleggen van een last onder dwang¬ 
som, heeft de Autoriteit mijns inziens voldoende bevoegdheden voor het 
uitoefenen van haar handhavende taken. Voor wat betreft de personele 
capaciteit merk ik het volgende op. Mijn departement heeft geregeld contact 
met de Autoriteit over de budgettaire en capacitaire kaders. In die gesprekken 
is van de zijde van de Autoriteit geen mededeling gedaan waaruit blijkt dat 
wordt gekampt met een ernstig capacitair tekort. Ook uit de begroting van de 
Autoriteit voor het jaar 2017 blijkt niet van een tekort dat er toe zou leiden dat 
de taken in onvoldoende mate kunnen worden uitgevoerd. 
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